89 Membres 1298 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Non résolue

Aide configuration SN710

Posée par Anthony Le dans Administration

Salut,

Nous avons actuellement un parefeu zyxell, et j'essai de configurer son remplacant, un stormshield sn710.

Je me perds un peu dans la configuration des regles NAT.

Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (sur laquelle de les ips la requete arrivait) la machine de destination, et le protocole.

dans source orginale j'indique internet et mon interface d'entée ?

dans destination originale : l'ip publique et le port ?

dans source translatée :  je comprend pas ?

dans destination translatée : ma machine cible et le protocole ?

merci de votre aide

 

 

Non résolue

Negotiation with client error (negotiation aborted) - Filtrage SSL

Posée par Jean Korn dans Administration

Bonjour,

sur notre Stormshield, nous réalisons de l'inspection SSL.

je rencontre régulièrement des sites web bloqués par le pare-feu 

l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL" 

règle 94 : decrypt HTTPS SSL Filter

régle 95 : pass HTTPS URL Filter

 

Auriez vous une idée de quoi pourrait venir ce probleme ?

Merci

 

Résolue

Mise en place d'un VPN SSL (@IP externe injoignable)

Posée par Charles Barthowsky dans Administration

Bonjour à toutes et à tous,

Je suis désireux de mettre en place un VPN SSL dans mon entreprise mais avant toute chose, je me suis rendu compte que mon @IP externe de mon SN510 était injoignable (depuis une 4G par exemple). Je n'arrive plus à prendre la main dessus en https. De ce fait et avec l'appli Stormshield VPN SSL, ça ne pourra pas fonctionner. 

Pourriez-vous m'aider ou me donner quelques pistes ? 

Merci par avance. :) 

Résolue

Communiquer deux interfaces SN510

Posée par Bd 41 dans Administration

Bonjour,

A l'heure actuelle, ma société n'utilise pas de VLAN.

Par conséquent, je dispose sur mon SN 510 : 

  • 1x Patte WAN
  • 1x Patte LAN (avec multipes @IP, le FW fait passerelle de chaque sous réseau). 

Ce que j'ai fait, j'ai paramétré un switch avec 2 VLANS :

  • LAN 192.168.95.0/24 - VLAN 95
  • MGMT 192.168.90.0/24 - VLAN 90.
  • Côté switch (192.168.90.10), je suis connecté au p3 de mon SN510 en trunk.
  • Côté SN510, j'ai créé une interface en p3 (192.168.91.100) et deux interfaces VLANS dessus (192.168.90.100 & 95.100 avec les bons ID VLANS correspondants à mon switch). 

Mon SN510 communique sans souci avec mon switch. 

Malheureusement, impossible de ping le switch depuis mon PC (connecté sur le LAN classique). Est-il possible de faire communiquer deux interfaces de mon SN510 sans faire de bridge ? J'ai beau avoir ouvert certains flux, rien ne passe.. 

Merci par avance pour votre aide,

Cordialement,

BD.

Non résolue

Firewall SN510 avec deux liens internet

Posée par Isonic dans Administration

Bonjour je cherche à configurer sur un SN510 deux connexions vers internet

Sur mon SN j'ai donc la borne 1 vers Orange , la borne 2 vers mon reseau interne et la borne 3 vers SFR.

J'ai paramétré les liens Orange et SFR de la meme façon , je ne fait pas de commutation en automatique je fais simplement un basculement à la main mais le lien SFR ne focntionne pas.

Savez vous si il existe des tutos pour ce type de paramétrage ?

 

Merci

 
Résolue

VPN SSL et client Openvpn sous Linux

Posée par Isonic dans Administration

Bonjour , je viens de faire quelques essais de connexions avec le client openvpn sous Linux

et j'ai une déconnexion au bout de 30 secondes.

Le PC est sosu Ubuntu 18.04 et la connexion ne fonctionne pas lorsque j'utilise le network manager de Ubuntu par contre si je fais une connexion en ligne de commande cela fonctionne bien.

Si vous avez une solution ou une idée

Merci

 
Résolue

Compatibilité client SSL 32b SNS 3.7 ?

Posée par Julien Auger dans Administration

Bonjour,

Est-ce que la version 3.7 LTSB est compatible avec le client SSL en version 2.4 (le dernier à être compatible 32b me semble) ?

 

J'avais trouvé la liste des compatibilité sur la base documentaire mais impossible de remettre la main dessus...

 

Merci.

 

Bonne journée

Non résolue

Soucis Ouverture de ports sur SN510 ..

Posée par Johann Coquillet dans Administration

Bonjour,

Petit soucis du jour.

J'ai un SN510 derrière une LiveBox, sur laquelle j'ai redirigé tous les ports vers le SN510 et créé la DMZ.
Sur le SN510 j'ai bien un accès internet après la création de la partie NAT pour accès Internet.
Soucis je dois ouvrir le port RSYNC vers mon Stormshield pour le pointer sur un NAS, et là cela se corse, j'ai du zappé quelque chose.

Pour Info :

WAN SN510 / 192.168.65.254 - LAN LiveBox / 192.168.65.1
Côté NAT
Network_Internals -> Internet -> IP WAN SN510 -> Ephemeral_fw -> internet (sortie Internet)
Any -> IP WAN LB -> RSYNC ->         NAS -> RSYNC (ouverture de port)

Côté FILTRAGE
passer -> Any -> IP WAN LB -> RSYNC -> Firewall
passer -> Network_Internal -> Internet -> Any -> IDS

Mais je n'arrive pas à me connecter de l'extérieur en RSYNC alors que Ok en Local.

Je pense que le soucis c'est entre la sortir en 192.168.65.254 et l'entrée avec Adresse IP Publique, mais je bloque.

Voir la suite
Non résolue

LAN sur SN200

Posée par John Doe dans Administration

Bonjour,

Nous utilisons actuellement un Stormshield SN200 configuré en mode bridge (ou mode transparent), hors nous avons constater que nous pouvions le configuré en mode translaté.

Nous aimerions connaitre les différences (avantages et inconvénients) de ces 2 modes.

Merci d'avance.

JD

Résolue

Automatisation NSRPC

Posée par Paul Lepoulpe dans Administration

Bonjour,

Je souhaiterai automatiser quelques commandes via NSRPC.

Est-il possible de lui passer des commandes en argument?

J'ai essayé d'utiliser expect mais les commandes semblent ne pas être prises en compte.

Auriez-vous des alternatives?

Merci.

Résolue

Compter le nombre de fois qu'une règle est utilisée

Posée par Guillaume V dans Administration

Bonjour,

Je suis sur le point de remplacer mes arkoons par des stormshield. Avant de commencer à créer mes règles de flux sur mon stormshield je cherche à faire du ménage dans mes règles de flux. Avec le compteur surbles règles de flux de l'arkoon je peux voir celles qui sont utilisées ou non. Nickel pour mes règles de flux concernant des port TCP. Cependant le compteur reste à 0 pour toutes mes règles de flux utilisant des ports UDP. Pourtant j'ai belle et bien du traffic. Aucune autres règle de flux qui pourrait strapper ces règles en UDP n'existe.

Ma question, est il possible de compter le nombre de fois qu'une règle utilisée pour de l'UDP est matchée ?

Merci.

Non résolue

script Autoupdate version powershell

Posée par Yannick Dalencon dans Administration

Bonjour à tous,

 

Je souhaite partager le script de téléchargement autoupdate en version powershell (traduit de updater.sh présent sur mystormshield et amélioré).

Ce script permet par rapport à la version linux de ne pas retélécharger le fichier tgz si le fichier présent localement correspond au bon hash MD5.

Windows ne gérant pas nativement les fichier tgz, il est nécessaire d'utiliser 7Zip (via 7z.exe)

Résolue

Multi ip Wan SN510

Posée par Gerard Ridouard dans Administration

Bonjour

je posséde un stormshield SN510, je n'arrive pas a configurer un nombre suffisant d'adresse Ip publique dans INTERFACES-WAN- Ip statique

le nombre maximun est de 6 alors que je posséde 30 adresses Ip Publique

connaissez vous une solution

j'ai essayer de les créer manuellement dans les objets mais cela ne marche pas quand je faire mes régles de NAT (manque la passerelle)

dans l'attente de vous lire

merci d'avance

Résolue

Serveur WEB inaccessible derrière mon U150

Posée par Mohamed T dans Administration

Bonjour à tous,

Je suis devant un problème sur lequel je me casse les dents depuis 2 jours.

Je dois ouvrir l’accès a un serveur web que je viens d'installer mais je n'arrive pas à ouvrir les portes!

1 j'ai demander à ouvrir le port 80 sur le routeur de mon opérateur afin de pouvoir rediriger les requettes arrivant sur mon adresse ip publique:80 vers mon serveur web

2 J'ai Natter pour que tout ce qui arrive sur mon WAN depuis le routeur opérateur soit redirigé vers mon serveur web

3 Je laisse passer le trafic arrivant depuis internet sur le port 80

Malgré cela lorsque que je regarde les log je vois un blocage du a une "sonde de port" sur mon entrée WAN

NB : Je suis complètement autodidacte en la matière et me rends bien compte que une formation spécifique sur ce type de matériel pourrai me faire du bien!

 

Non résolue

Problème impossible d'avoir les log des firewall sur autre réseau

Posée par Ilian B dans Administration

Bonjour,

Je viens de mettr een place SVC. J'arrive à faire remonter les logs du pare feu local (même réseau) mais quand j'essai d'ajouter d'autres pare feux sur d'autres réseaux, rien ne se passe. Sauf pou 1...

En gros, j'ai la VM qui est sur le réseau 192.168.21.0, un pare feu sur ce même réseau et 2 autres réseaus joignables entre eux : 192.168.21.0 et 192.168.12.0

J'ai un pare feu de test en 192.168.25.200 dont je vois les logs sur SVC mais un autre pare feu en 192.168.25.254 avec exactement la même config ne passe pas et le pare feu en 192.168.12.254 ne passe pas non plus......

Le filtrage entre les réseaux est nul (any) et en mode firewall.

Pour le coup je n'ai pas la moindre idée d'où peut venir le problème...

Est-ce que certains d'entre vous ont déjà réussi à obtenir les log de pare feux sur des réseaux diférents de celui de la VM ?

Quelqu'un à une idée ? un fichier de conf à modifier sur la VM ?

Merci à tous !

Non résolue

stormshield sn310 - forcer une interface pour un protocole définit

Posée par Sebastien Blabla dans Administration

Bonjour a tous,

 

Je suis nouveau dans le monde stormshield, j'ai un sn310 a administrer avec 2 connexion internet configuré sur 2 interfaces différentes du stormshield.

J'ai besoin de forcer tout le protocole POP et SMTP a sortir sur une seul des interfaces.

Je ne sais pas si ce que j'ai fait est bon et j'aurais besoin de confirmation/correction :

j'ai ajouté dans les filtre une règle qui bloque mon serveur de messagerie en source et en destination tout sur l'interface non souhaité avec comme port de destination pop3 et smtp.

La règle semble tre utilisé mais est-ce suffisant?

 

Merci d'avance.

Sébastien

Résolue

Config SN310

Posée par Stephane Fritsch dans Administration

Bonjour,

Je suis en cours de migration entre un SN300 et un SN310.

J'ai fais un export et un import de conf.

Depuis, je n'arrive plus à me connecter à mon nouveau firewall (SN310). En me connectant en USB, je vois les interfaces elle sont bien configurées sauf celle sur laquelle j'ai autorisé la connexion car j'ai mis des vlans sur cette interfaces et l'addresse ip de la carte est attribué automatiquement et je en peux pas me connecter.

Une idée ?

Si besoin de plus d'infos pas de soucis.

D'avance merci.

Non résolue

Perte accès interface Web SN 510

Posée par Yaya G dans Administration

Bonjour,

 

Tout d'abord meilleurs voeux à tous pour cette année 2019.

J'utilise un Firewall Stormshield SN510 et depuis la MAJ 3.6.0, je n'arrive plus à me connecter sur les pages https://XXXXXXXXX/admin/ et https://XXXXXXX/auth.

La dernière maj qui fonctionne correctement est la 3.5.2.

Dès que je mets à jour le firewall en 3.6.0 ou 3.7.1, le problème se reproduit.

L'accès en SSH focntionne bien car c'est par ce moyen que je peux revenir en 3.5.2 avec la partition de backup.

Aucun changement n'a été fait au niveau de la configuration entre la 3.5.2 et la 3.7.1.

Auriez-vous des idées?

 

D'avance merci.

 

Non résolue

AMCV6 Suppression cert

Posée par Marc Affinito dans Administration

Bonjour,

J'ai une base de donnée assez conséquente de certificat. Elle doit mettre environ 5min à se charger quand je vais voir l'autorité de certification, une fois dans mon instance.

Comment faire le ménage dans les certificats ? Comment supprimer les certificats révoqués et expirés ? Pas besoin de garder un historique.

 

D'avance merci pour votre aide

Non résolue

Migration pare-feu

Posée par Jean Emam dans Administration

Bonjour,

Je dois migrer le pare-feu stormshield NG1000 en version 2.8 vers SN910 est que je peux restaurer le sauvegarde de NG1000 sur SN910.

Merci

Messages d'alerte